信息安全管理制度发布日期：2021年01月01日实施日期：2021年01月01日上海*******股份有限公司信息中心发布信息安全管理制度目录一、总则 (3)二、职责 (3)三、电子邮件管理 (4)四、硬件设备管理 (5)五、软件管理 (8)六、计算机操作员管理 (8)七、数据安全管理 (11)八、机房管理 (12)九、考核办法 (13)十、附则 (14)十一、附件： (14)一、总则1.1目的为规范公司信息安全管理工作，保证计算机系统的正常运行，降低信息安全漏洞对公司造成的损害，推进公司信息化建设工作，特制定本制度。

1.2定义信息安全是指信息系统（包括电子邮件、硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

其根本目的就是使内部信息不受内部、外部、自然等因素的威胁，保证系统联系可靠正常运行。

二、职责2.1 主要管理部门综合管理部。

2.2 网络管理员网络管理员为信息系统主要管理人，负责信息系统的建设、维护、管理、升级工作；负责公司网站的信息更新操作。

2.3 ERP系统管理员ERP系统管理员为ERP系统主要管理人，负责ERP系统的维护、管理、权限变更等工作。

2.4 计算机操作员使用电子计算机从事文字、图形、图像等信息处理工作及计算机系统操作、维护与管理的工作人员。

三、电子邮件管理3.1 电子邮件命名3.1.1公司内部人员统一使用后缀为@***的电子邮件。

3.1.2电子邮件账号原则上以姓名拼音的第一个字母进行命名，如遇重复，由综管部与个人协商确定。

3.2 电子邮件使用管理程序3.2.1邮箱申请：新进人员直接由综管部确定并下发邮箱地址；3.2.2人员异动：所属部门人员岗位异动应及时通知综管部；离职人员邮箱由部门根据需求处理后通知综管部清除账户。

3.3 邮件发送3.3.1 邮件发送对象：邮件接收人为邮件内容的主要执行人。

发送邮件时应按流程逐级发送，不允许越级汇报或发给与邮件内容无关人员。

发送时应明确收件人执行要求。

3.3.2建立发送群体对象因人员岗位变动要及时更新联系名单。

3.3.3抄送对象：主要用于备案、告知、协调等事宜。

包括需让领导、团队知悉的或寻求协调的相关人员，因此发件人在抄送邮件时要仔细辨别、判断，不得群发。

例如：日常工作处理（属于本岗位可以处理）无需抄送对象，超过权限或重点督办、关注项目抄送给收件人上级主管。

3.3.4邮件附件一般不超过10M，超过10M的一般要求进行拆分。

3.3.5发送内容：公司域名邮件只能用于与公司业务有关的工作中，严禁个人利用公司域名邮箱发送违法、违规等有损公司利益、形象的邮件。

3.3.6发送邮件格式要求如下：1）称呼：如“某某某，您好！”或者“各位同仁：大家好！”等等。

2）邮箱签名部分统一格式：******促整合·拓市场·增效益3.4收件处理3.4.1处理原则1）及时、有措施、有时间、有责任人；2）部门员工对部门负责人反馈，跨部门协调由部门负责人之间协调解决。

3.4.2反馈时间：重要、紧急事件应第一时间回复，一般事件原则上不超过4h，个人请假或出差应电话回复或指定他人回复。

3.4.3 反馈结果：邮件处理人在处理后应将结果以邮件形式告知发件人。

四、硬件设备管理4.1 设备购置审核计算机、打印机等设备购置申请按公司《固定资产管理制度》进行申购，如原有设备进行升级、更换需由网络管理员进行确认并签字后按固定资产购置流程办理。

4.2 设备日常使用4.2.1 计算机设备依据谁使用谁负责的原则设定主要负责人，对一机多人操作的设备要确定主要责任人，并由网络管理员填写【计算机管理人员登记表】登记备案。

4.2.2 计算机设备需保持干燥、清洁、安全、良好的工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。

计算机需放置于平稳、水平平面，避免因活动、震动等原因导致设备损坏，严禁在通电的情况下拆卸、移动计算机等设备和部件。

4.2.3 除网络管理员外任何人不得自行拆卸、更换、升级设备机箱、内部配件、外部设备等。

4.3 设备维修4.3.1 计算机出现故障时应及时向综合管理部报告，不允许操作员私自处理或找非本单位技术人员进行维修。

4.3.2 非本单位技术人员对我司的设备、系统等进行维修、维护时，必须由公司网络管理员现场全程监督。

计算机设备送外维修，须经按公司《固定资产管理规定》审批通过，并拆除硬盘后送修。

如硬盘需要送外维修，需与维修方签订保密协议。

4.4 设备报废4.4.1 计算机设备报废按公司《固定资产管理制度》进行报废。

4.4.2 报废电脑需对硬盘资料进行备份，并将硬盘拆除或破坏后方可进行报废。

4.5 移动存储设备管理4.5.1 涉密移动存储设备，是指用于存储公司机密信息的移动硬盘、软盘、U盘、光盘、磁带、存储卡等存储设备。

4.5.2 涉密移动存储设备实行登记管理。

并确定各涉密移动存储设备使用人、管理人。

4.5.3涉密移动存储设备只能在本公司涉密计算机和涉密信息系统内使用，严禁在个人计算机上使用；严禁借给外单位使用。

4.5.4 任何移动存储设备在接入本单位计算机信息系统之前，要查杀病毒、木马等恶意代码后才能继续操作。

4.5.5涉密移动存储设备出现丢失，需立即上报信息安全危机处理工作小组，采取相应措施。

4.5.6 涉密移动存储设备的销毁，由综合管理部统一登记造册，并经公司领导批准后，备份数据后集中销毁，任何个人不得擅自销毁。

4.6 外来设备管理4.6.1 外来计算机未经允许禁止接入公司网络，如需接入公司网络需经审批、登记后由网络管理员进行接入。

4.6.2 外来计算机必须装有有效的杀毒软件和防火墙。

4.6.3 接入公司网络的外来计算机默认只允许登录互联网查找相关资料，不得接入公司局域网。

如因特殊要求需接入公司局域网，需经审批、登记后由网络管理员进行接入，使用过程中需有公司员工在场陪同、监督。

4.7 无线局域网管理除网络管理员外，任何人禁止私自架设无线收发装置用以接入公司网络。

如需使用无线网络需申请、登记后由网络管理员进行架设。

五、软件管理5.1 软件安装权限除部门副经理以上管理人员及网络管理员以外，其他操作员无软件安装权限，所有软件由网络管理员负责安装。

5.2软件更新网络管理人员负责将记录软件供应商信息，就软件技术问题与软件供应商联系，及时下载系统及平台软件的相关补丁程序，并与原系统进行配套管理和使用。

5.3 病毒防护软件服务器和客户端计算机上均需安装企业版病毒查杀软件及防火墙，方便网络管理员监控公司安全状况；网络管理员应及时下载更新病毒库，每周定时查杀。

六、计算机操作员管理6.1 操作员账号密码统一由网络管理员分配。

每位操作员各自对应一个操作账号，操作账号作为个人身份识别依据，操作员须妥善保管好自己的帐户和密码，不可将操作账号密码告知其他人员，严防被窃取及盗用而导致信息安全事故。

6.2网络管理员未分配操作账号密码的员工即无权使用计算机，不得使用他人账号密码登录计算机进行操作。

如因工作需要需操作计算机，需向综合管理部经理提出申请，并由其同意后，经网络管理员分配账号密码后使用自己的账号密码登录计算机进行操作。

6.3 操作员计算机操作权限由其岗位工作特性决定，如因工作需要需变更、添加权限需填写《权限变更申请单》向综合管理部经理提出申请，获得批准后，由网络管理员进行权限变更操作。

6.4 ERP操作权限变更需向财务总监提出申请，获得批准后由ERP 系统管理员进行权限变更操作。

6.5所有操作员必须在所使用的计算机中设置开机密码和屏幕保护密码。

为了保护公司的信息资产，密码复杂性要求：长度至少有7个字符长，密码必须包含字母及数字。

6.6 所有计算机的本地管理员账号密码由综合管理部统一管理，其他操作员禁止使用任何手段尝试破解获取管理员账号密码。

6.7 操作员离开计算机时需启动计算机屏幕保护。

多操作员共用同一计算机设备，操作员需离开计算机较长时间时需保存好文件并注销操作员用户，以保证其他操作员能正常登录计算机。

6.8 操作员如发现自己的账号存在被盗用可能必须及时上报信息安全危机处理工作小组，并由网络管理员协助调查。

6.9任何人员不得利用计算机信息网络制作、复制和传播下列信息：（1）煽动抗拒、破坏宪法和法律、法规实施的；（2）煽动颠覆国家政权，推翻社会主义制度的；（3）煽动分裂国家、破坏国家统一的；（4）煽动民族仇恨、民族歧视，破坏民族团结的；（5）捏造或者歪曲事实，散布谣言，扰乱社会秩序的；（6）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；（7）侮辱他人或者捏造事实诽谤他人的；（8）包含公司机密信息的；（9）进行其他违法犯罪活动的。

6.10 任何人员不得从事下列危害计算机信息网络安全的行为：（1）未经允许，进入计算机信息网络或者使用计算机信息网络资源的；（2）未经允许，对计算机信息网络功能进行删除、修改或者增加的；（3）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改、或者拷贝等；（4）故意制作、传播计算机病毒等破坏性程序的；（5）安装未经许可的应用软件、或者下载与工作内容无关的文件；（6）非法提供网页、文件传输、邮件、论坛、聊天、路由、代理等服务的；（7）非法使用他人IP地址、账户、口令，或冒用他人名义进行网上活动的；（8）其他危害计算机信息网络安全的。

（9）擅自修改计算机主机和网络的系统配置参数。

（10）通过电子邮件及其它形式泄露本单位技术和商业机密等信息。

七、数据安全管理7.1 个人电子文档等重要数据必须保存至文件服务器上。

网络管理员需定期对文件服务器上的文档进行备份。

7.2 网络管理员要做好服务器的安全性预防工作，每周进行一次完整杀毒，按应用系统的要求进行数据备份，以防数据的丢失。

7.3含有重要信息的资料（卡片、稿纸、光盘等）废弃时，应及时销毁，以免被误用或导致信息泄露。

7.4 技术图纸等机密文件需经文件加密系统加密，外发、打印等操作均需经过部门领导授权。

7.5 存放备份数据的介质必须具有明确的标识。

备份数据必须异地存档，并明确落实异地备份数据的管理职责。

7.6非本公司技术人员对公司的设备、系统等进行维修、维护时，必须由本公司相关网络管理员现场全程监督。

计算机设备送外维修，须经设备管理机构负责人批准。

送修前，需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除，并进行登记。

对修复的设备，设备维修人员应对设备进行验收、病毒检测和登记。